CVE-2024-34144

Plugin de segurança de scripts do Jenkins, versões 1335.vf07d9ce377a e e anteriores

Uma falha que permite contornar a sandbox permite que invasores com permissão para definir e executar scripts em sandbox, incluindo Pipelines, contornem a proteção da sandbox e executem código arbitrário no contexto da JVM do controlador do Jenkins. Isso se deve a corpos de construtores criados de forma maliciosa que podem invocar outros construtores, permitindo a construção de qualquer tipo subclassável por meio de conversões implícitas. Além disso, classes Groovy definidas na sandbox que ocultam classes específicas não definidas na sandbox podem ser usadas para construir qualquer tipo subclassável. A vulnerabilidade é causada por uma correção incompleta de uma vulnerabilidade de segurança anterior.

Para as versões 1335.vf07d9ce377a e e anteriores do Jenkins Script Security Plugin, atualize para a versão 1336.vf33a a 9863911 ou posterior, que inclui restrições adicionais e verificações de validade para impedir a construção de superconstrutores sem que sejam interceptados pela sandbox. Como solução alternativa temporária, considere restringir o acesso ao recurso de sandbox para minimizar o risco de exploração.